Présentation – Janvier 2016

SecurePGP 1.x

Offre SecurePGP Sécurisation de fichiers selon le standard OpenPGP

2

Sommaire

● Présentation de LINAGORA

● Vue d’ensemble de SecurePGP

● Description détaillée de SecurePGP

● Le module « SecurePGP KMS »

● Le module « SecurePGP Server »

● Fiche technique de SecurePGP

● Projections

3

Présentation de LINAGORA

● Présentation de la société

● Nos métiers

● Nos produits

● Notre offre Sécurité

4

Quelques références Linagora

Présentation de LINAGORA

Logiciels et servicespour réussir

vos grands projetsde transformation

open source

Édition logicielleÉdition logicielle

ServicesServices

Assurance logicielleAssurance logicielle

Messagerie collaborative

Confiance numérique

Gestion et fédération des identités

Plate-forme d’intégration SOA

150 salariés

Bureaux en France, Canada, Belgique, États-Unis, Vietnam

Partenaires et clients en Tunisie, Colombie et au Nigeria

5

Nos métiers

Édition logicielle – LGS (Linagora Global Software)OBM – Outils de messagerie et de gestion collaborative.

LinShare – Application de partage de fichiers sécurisé.

LinPKI – Offre de services et d’applications de sécurité.

LinID – Gestion et fédération des identités.

Petals – Plate-forme d’intégration SOA.

Support logiciel – OSSA (Open Source Software Assurance)Catalogue complet de plus de 400 logiciels libres – dont les applications du groupe Linagora –, prêts à l’industrialisation, sur une plate-forme unique : le 08000LINUX.com.

Services professionnelsLinagora Consulting – Conseil, schémas directeurs, études.

Linagora Services – Assistance technique, conduite du changement.

Linagora Formation – Centre de formation.

Linagora LinStudio – Développement d’applications web.

6

Modèle économique

●100 % Free Free100 % Free Free●= aucun coûtaucun coût de licence

●= réellementréellement Open Source●= paspas de modèle Freemium

●100 % Free Free100 % Free Free●= aucun coûtaucun coût de licence

●= réellementréellement Open Source●= paspas de modèle Freemium

Nos modes de rémunérationConseil et intégration

Développement de fonctionnalités spécifiques

Support technique

7

Une gamme logicielle professionnelle

LINAGORA développe du logiciel libre. 100 % du code source est disponible.

Nos clients contribuent au développement des offres, à la pérennisation des produits et de leur communauté au travers des contrats de support.

Truffle 100/2010 : Linagora est le seul éditeur Open Source présent (90e position)(Truffle 100 : classement des 100 premiers éditeurs de logiciels français).

Investissement en R&D : > 3,5 M€/an

Gestion et fédération des

identités

Messagerie collaborative

Confiance numérique

Plate-forme d’intégration

8

L’offre Sécurité

EJBCA– Infrastructure à clé publique PKI– Autorité de certification et confiance numérique

SecurePGP– Sécurisation de fichiers selon OpenPGP– Gestion des clés PGP et modèle de confiance

LinSign– Signature électronique de documents– Validation de signatures électroniques

gSafe– Coffre-fort électronique dans le Cloud– Signature électronique à valeur probatoire

LinSecure– Coffre-fort électronique pour le jeu en ligne– Certification CSPN et conformité ARJEL

SignServer– Signature électronique cachet serveur– Horodatage électronique et temps fiable

LinPKI instaure un environnement de confiance en Open Source.

Des solutions clés en main pour : authentifier les personnes et les machines, assurer la confidentialité au sein de votre SI, dématérialiser vos documents grâce à la signature électronique sécurisée.

PROCHAINEMENTPROCHAINEMENT

9

Vue d’ensemble de SecurePGP

Solution de sécurisation de fichiersSolution de sécurisation de fichiers

selon le standard OpenPGPselon le standard OpenPGP

10

SecurePGP : C’est quoi ?

Solution de sécurisation des échanges internes et externes de fichiers entre applications, conforme au standard OpenPGP.

Destinée à toute organisation requérant un haut niveau de sécurité, cette solution répond parfaitement aux problématiques d’intégrité et de confidentialité des banques, assurances, établissements financiers, domaine médical, industriel, etc.

Assure la sécurité des fichiers de bout en bout entre applications, en usage interne et pour les échanges externes, grâce à l’établissement d’une confiance croisée avec des partenaires externes.

Indépendante du système, cette solution est implémentée sur plusieurs systèmes d’exploitation et assure l’interopérabilité entre systèmes hétérogènes via un standard reconnu et un format pivot.

S’intègre à tout système de transfert de fichiers existant, via son API complète permettant l’automatisation des traitements.

11

SecurePGP : Vue d’ensemble

12

SecurePGP : Fonctionnalités principales (1/2)

Large couverture cryptographiqueDe nombreux algorithmes cryptographiques sont supportés, dont RSA (jusqu’à 4096 bits), SHA-2 (SHA-256, etc.), AES (128, 192 et 256 bits), Camellia (128, 192 et 256 bits), TripleDES, Twofish, etc.

Très bonne compressionLa compression des données a trois impacts bénéfiques : augmentation de la sécurité (en réduisant la redondance), libération de l’espace de stockage, diminution de la charge réseau, ainsi globalement cela permet d’avoir une réduction du temps de traitement.

Intégrité et principe de non-répudiationDans le cadre de la signature électronique, d’une part l’intégrité des données est garantie et d’autre part les responsables d’une application utilisatrice ne peuvent pas renier le fait que l’application ait émis un fichier signé (par la clé applicative). La valeur probatoire de la signature s’avère très utile lorsque des audits de sécurité sont menés.

13

SecurePGP : Fonctionnalités principales (2/2)

Création et gestion centralisée des clésLe système intégré de gestion centralisée des clés PGP permet d’une part – selon un modèle de confiance hiérarchique – d’établir un environnement de confiance au sein de son SI, et – si besoin – une confiance croisée avec des partenaires externes. D’autre part, ce système permet de générer, renouveler, révoquer et de distribuer les clés applicatives, ainsi que de diffuser automatiquement les clés de confiance au sein de son infrastructure.

API complète de type CLIL’API (Application Program Interface) permet d’intégrer l’outil CLI dans des applications tierces appelantes, et d’automatiser le traitement de gros volumes de données.

Support multi-environnementsDe multiples systèmes sont supportés (GNU/Linux, Windows, AIX, etc.) et multi-environnements d’exécution (e.g. Prod, Test).

14

SecurePGP : Points forts

Points forts de SecurePGP :

● Similaire à PGP Command Line, mais en Open Source sous licence libre avec GnuPG ;

● Transcodage automatique des fichiers texte indépendamment du système cible ;

● Modèle de confiance SecurePGP et diffusion automatique des clés maîtres ;

● Conforme RGS v2 de l’ANSSI et avec la Convention OpenPGP de la Banque de France ;

● Automatisation par script via son API complète en ligne de commande CLI ;

● Interopérable avec les solutions propriétaires OpenPGP du marché.

15

SecurePGP : Composition de l’offre

La solution SecurePGP fournit d’une part un système de gestion des clés PGP (SecurePGP KMS), et d’autre part des modules serveurs pour la mise en œuvre du service de sécurisation et dé-sécurisation (SecurePGP Server).

SecurePGP KMS – Système de gestion des clés PGP

SecurePGP KMS (Key Management System) est le système central de gestion des clés PGP (clés maîtres et clés applicatives). Les clés générées respectent le standard OpenPGP (RFC 4880) et la convention OpenPGP de la Banque de France, et sont ainsi interopérables avec celles de la Banque de France et de tout partenaire.

SecurePGP KMS permet de gérer ses propres clés maîtres sur support matériel via une interface standard PKCS #11 (e.g. carte SIM OpenPGP SmartCard V2 et son lecteur Gemalto USB Shell Token V2).

SecurePGP Server – Modules du service de sécurisation

SecurePGP Server fournit le service de sécurisation et de dé-sécurisation des fichiers. Il est décliné sous plusieurs modules pour supporter les plate-formes suivantes : AIX, Red Hat Enterprise Linux (RHEL), Windows Server.

Pour d’autres plates-formes, veuillez nous contacter.

16

SecurePGP : Cinématique fonctionnelle globale

1 fois après la signaturede la convention OpenPGP

1 fois par couple d’applications

1 fois par application

1 fois par fichier

17

SecurePGP : Références Linagora

Les clients de Linagora qui utilisent SecurePGP :

● Banque de France (banque), SécurPGP (solution libre de sécurisation de fichiers, à l’origine du produit SecurePGP)

18

SecurePGP : Produits concurrents

Offres basées sur PGP Command Line (de Symantec)

● Townsend Security, PGP File Encryption

● GroovySoft, PGP® Command Line for IBM Mainframes

● SDS, E-Business Server™ Encryption

● Authora, Edge Open PGP Command Line

Offres basées sur une implémentation propriétaire de OpenPGP

● Linoma Software, GoAnywhere Director

Note : Axway, Transfer CFT (supporte aussi PGP)

19

SecurePGP : Matrice de comparaison des produits

LINAGORA Townsend Security GroovySoft SDS Authora Linoma Software

SecurePGP PGP File Encryption Edge Open PGP Command Line GoAnywhere Director

Licence GNU Affero GPL v3 Propriétaire Propriétaire Propriétaire Propriétaire Propriétaire

Format des clés OpenPGP (RFC 4880) OpenPGP (RFC 4880)

Modèle de confiance

Gestion des clés Création et gestion Gestion (import, export) Création et gestion Création Création et gestion Gestion (import, export)

Chiffrement

Signature

Compression

Transcodage EBCDIC ↔ ASCII EBCDIC ↔ ASCII

Transfert de fichier ? ? Composants GnuPG (v1.4, v2.0), iconv PGP Command Line (v9) PGP Command Line (v9) ? PGP Command Line Implémentation propriétaire

Annuaire

Systèmes supportés

Interfaces

Conformité ?

Support ? Support éditeur Au forfait ou par ticket. Support éditeur

PGP® Command Line for IBM Mainframes

E-Business Server™ Encryption

OpenPGP (RFC 4880)X.509 v3

OpenPGP (RFC 4880)X.509 v3

OpenPGP (RFC 4880)X.509 v3

OpenPGP (RFC 4880)X.509 v3 (que Windows)

Hiérarchique avec confiance croisée

~ 90 formats (UTF-8, ISO, EBCDIC, Windows, etc.)

LDAPPGP Universal ServerPGP Global Directory

LDAP (pour X.509)PGP Universal ServerPGP Global Directory

IBM AIXGNU/Linux RHELWindows Server

IBM i OS/400IBM z/OS

IBM iSeriesIBM AIX Unix GNU/LinuxSun SolarisWindows Apple

IBM z/OSWindows ServerSun SolarisIBM AIXHP-UXLinux Red HatLinux SUSE

FreeBSDLinux : RedHat, SuSEHP Tru64 UNIXHP-UX UNIXSolaris (Sparc, Intel)IBM AIXMacOS XWindows (desktop)

Windows : Server, desktopGNU/Linux : CentOS, Red Hat, SUSE, UbuntuIBM i (AS/400)AIX (pSeries)UNIXHP-UX, SolarisMac OS

kshWindows PowerShell

z/OS JCL, ISPFz/OS USS (ksh)

z/OS JCL, ISPFz/OS USS (ksh)

z/OS : JCL, ISPF, REXX, SYSREXXScript shell : USS, Linux, Unix, WindowsC and Java code

UNIX (ligne de commande)Windows (ligne de commande)

Windows (ligne de commande)Unix/Linux/HP-UX/Solaris (shell)IBM i (CL/RPG/COBOL)Java.NET (C# API)

ANSSI RGS v2 (par configuration)

NIST FIPS 140-2 (pour PGP SDK)

NIST FIPS 140-2 (pour PGP SDK)

NIST FIPS 140-2 (security level 4)

NIST FIPS 140-2 (RSA Security Module)

Support éditeur, OSSA (8h00‑19h00)

Support par ticket (6h30–17h00)

20

Description détaillée de SecurePGP

Solution de sécurisation de fichiersSolution de sécurisation de fichiers

selon le standard OpenPGPselon le standard OpenPGP

21

SecurePGP : Le standard OpenPGP

Le standard OpenPGP

OpenPGP est un protocole pour chiffrer et signer des courriels, utilisant les mécanismes de cryptographie à clé publique. Il est basé sur PGP développé par Phil Zimmermann.

OpenPGP est un standard définit par l’IETF (Internet Engineering Task Force) dans le RFC 4880. Ce standard peut être utilisé par toute entreprise sans droit de licence.

Les logiciels « OpenPGP »

La Free Software Foundation a développé son propre logiciel conforme au standard OpenPGP appelé GNU Privacy Guard (GnuPG ou GPG). GnuPG est publié sous la licence libre GNU General Public License (GPL).

Symantec a développé sa propre solution conforme au standard OpenPGP appelé PGP Command Line.

22

SecurePGP : Architecture fonctionnelle

La solution SecurePGP est constitué d’un système de gestion de clés PGP (SecurePGP KMS, Key Management System) et d’un ou plusieurs modules serveurs de sécurisation de fichiers (SecurePGP Server).

SecurePGP Server SecurePGP KMS

23

Le module « SecurePGP KMS »

Système de gestion des clés PGPSystème de gestion des clés PGP

24

SecurePGP KMS : Gestion des clés

OrganisationChaque organisme (e.g. banque, établissement de crédit, industriel, etc.) possède sa clé maître qui a un rôle d’autorité.

Chaque organisme peut émettre et signer – avec sa clé maître – des clés applicatives, pour chacune de ses propres applications destinées à utiliser le service SecurePGP.

Gestion des clés maîtresUn organisme constitue également une liste de confiance composée des clés maîtres publiques des organismes partenaires envers lesquels il fait confiance.

Gestion des clés applicativesD’une part, un organisme gère le cycle de vie de ses propres clés applicatives. Et d’autre part, il peut importer les clés applicatives publiques d’organismes partenaires envers lesquels il a préalablement fait confiance.

25

SecurePGP KMS : Modèle de confiance

Les clés maîtres sont les racines de la confiance.

Chaque organisme possède sa clé maître.

26

SecurePGP KMS : Interface graphique (GUI)

27

Le module « SecurePGP Server »

Module de sécurisation de fichiersModule de sécurisation de fichiers

28

SecurePGP : Cinématique de sécurisation (1/2)

Opération de sécurisation :

1. Transcodage ;

2. Signature ;

3. Compression ;

4. Chiffrement.

Opération de dé-sécurisation :

1. Déchiffrement ;

2. Décompression ;

3. Vérification de la signature ;

4. Transcodage.

Le module SecurePGP Server d’une application émettrice réalise une opération de sécurisation sur un fichier, puis l’envoie à une ou plusieurs applications destinatrices.

À la réception du fichier sécurisé, le module SecurePGP Server de chaque application destinatrice réalise une opération de dé-sécurisation sur ce fichier pour obtenir le fichier en clair original, éventuellement codé selon le jeu de caractères du système cible dans lequel est exécutée l’application en question.

29

SecurePGP : Cinématique de sécurisation (2/2)

30

Fiche technique de SecurePGP

● Conformité de sécurité

● Normes, standards et convention

● Support cryptographique

● Environnement technique et licence

● Fiche des caractéristiques

31

SecurePGP : Conformité de sécurité

Conformité au RGSLes fonctionnalités de SecurePGP permettent d’assurer la conformité

au Référentiel général de sécurité français (RGS), selon :

● les cartes à puce cryptographiques (interface PKCS #11) ;

● les mécanismes cryptographiques : algorithmes et tailles de clés.

32

SecurePGP : Normes, standards et convention

SecurePGP est développée conformément aux standards, elle prend en charges les préconisations des organismes suivants :

● ITU (International Telecommunication Union) : pour les normes ITU-T X.500 et X.520 (annuaires LDAP),

● IETF (Internet Engineering Task Force) : pour le standard OpenPGP (RFC 4880),

● PKCS (Public-Key Cryptography Standards) : spécifications des laboratoires RSA, pour les tokens cryptographiques (PKCS #11),

● W3C (World Wide Web Consortium) : pour le standard des formats de dates (ISO 8601),

● Banque de France : convention OpenPGP de la Banque de France.

Le respect des standards garantit l’interopérabilité.

33

SecurePGP : Support cryptographique

SecurePGP supporte les algorithmes cryptographiques :● Algorithmes asymétriques :

● RSA : 1024, 1536, 2048, 3072, 4096 bits,● Autres : DSA (1024–3072 bits), Elgamal (1024–3072 bits).

● Fonctions de hachage à sens unique :● SHA-1, RIPEMD-160,● SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512.

● Algorithmes symétriques :● AES-128, AES-192, AES-256,● Camellia-128, Camellia-192, Camellia-256,● Autres : Twofish, Blowfish, CAST5, TripleDES.

● Algorithmes de compression :● Zip, Zlib, BZip2.

SecurePGP supporte nativement le standard PKCS #11 :● Tokens USB cryptographiques :

● Carte SIM : OpenPGP SmartCard V2 avec SIM détachable,● Lecteur de carte SIM : Gemalto USB Shell Token V2.

34

SecurePGP : Environnement technique et licence

Environnement technique :

Langages de développement :

● Application KMS développée en ksh et C#,

● Modules serveurs développés en ksh ou PowerShell ;

Outils en dépendance :

● GnuPG (OpenPGP), iconv (transcodage) ;

Systèmes d’exploitation supportés :

● RHEL, AIX, Windows.

Licence :

Licence libre (open source) :

GNU Affero General Public License, version 3

35

SecurePGP : Fiche des caractéristiques

Fonctions

– Chiffrement fort, avec des clés jusqu’à 256 bits

– Assure l’intégrité des fichiers

– Non-répudiation de l’émetteur

– Compression des données

– Transcodage automatique des fichiers texte

– Système de création et gestion des clés PGP intégré

– Automatisation par script, en ligne de commande CLI

– Multi-applications utilisatrices du service

– Plusieurs environnements d’exécution supportés

– Système de journaux, sauvegarde, et auto-contrôle

Standards et cryptographie

– Standard OpenPGP (RFC 4880)

– Convention OpenPGP de la Banque de France

– Algorithmes asymétriques : RSA, DSA, Elgamal

– Algorithmes symétriques : AES, Camelia, Twofish, Blowfish, CAST5, TripleDES

– Fonctions de hachage : SHA-1, RIPEMD-160, SHA-224, SHA-256, SHA-384, SHA-512

– Formats de codage : plus de 90 formats supportés (UTF-8/UTF-16/UTF-32, ASCII, ISO-8859, KOI8, EUC, Windows/CP, Macintosh, EBCDIC, etc.)

– PKCS #11 (Cryptographic Token Interface Standard)

– Conforme au Référentiel général de sécurité v2 (ANSSI)

Support

– Systèmes d’exploitation : GNU/Linux (RHEL), IBM AIX, Windows 7/Server

– Tokens USB cryptographiques : Gemalto USB Token / OpenPGP SmartCard SIM

– Pérennité de l’outil : sous licence libre (AGPL v3), basé sur l’outil GnuPG

– Supports communautaire et éditeur : code en Open Source, développé par une entreprise française

36

Projections

● Support et service professionnel

● Feuille de route du produit

37

Support et service professionnel

En complément de l’offre applicative, Linagora fournit le personnel et les services pour répondre à votre besoin durant toutes les phases projet.

Conseil● Analyse des besoins et des usages ;● Définition des spécifications fonctionnelles et techniques ;● Définition des architectures techniques.

Intégration● Gestion de projet ;● Développement complémentaire ;● Mise en œuvre des applications (installation, configuration, déploiement) ;● Rédaction de documentation ;● Établissement des processus d’exploitation.

Support● L’offre de support de Linagora OSSA (voir plaquette OSSA).

Formation● Formation aux concepts et application (cf. catalogue Formation).

38

SecurePGP : Feuille de route du produit

Feuille de route SecurePGP v1.x

● SecurePGP Server sous Debian

● SecurePGP Server sous SLES

● SecurePGP KMS sous GNU/Linux

Feuille de route SecurePGP v2.x

● Support des courbes elliptiques : ECDH, ECDSA (P-256, P-384, etc.)

● Support des certificats numériques X.509 v3

● Etc.

Merci pour votre attention !

Groupe LINAGORA80, rue Roque de Fillol92800 PUTEAUXFRANCE

@linagorawww.linagora.com

vente@linagora.com